Yli 11,000 XNUMX australialaista yritystä joutui äskettäisen kyberhyökkäysaallon kohteeksi, ja ne perustuvat ikääntyvään, mutta edelleen vaaralliseen haittaohjelmakantaan, nimeltään Agent Tesla.
Mahdollisia uhreja pommitettiin ilkeillä ansassa olevilla sähköpostiviesteillä, joissa oli houkutuksia tavaroiden ostamisesta ja tilaustoimituskyselyistä, jotka sisälsivät haitallisen liitteen. Uhrit, jotka huijattiin avaamaan liite, altistivat Windows-tietokoneensa agentti Tesla -tartunnalle.
Agentti Tesla on etäkäyttötroijalainen (RAT), joka ilmestyi ensimmäisen kerran vuonna 2014. Check Point Softwaren tutkijoiden mukaan haittaohjelmia levitetään laajasti ja useat uhkatoimijat, mukaan lukien kyberrikolliset ja vakoilijat, käyttävät sitä.
Alexander Chailytko, Check Pointin kyberturvallisuus-, tutkimus- ja innovaatiopäällikkö, sanoo, että uhkatoimijat ovat "kehittäneet luottamusta" agentti Teslan kykyihin.
"Sen luotettavuus yhdistettynä sen monipuolisiin toimintoihin tietojen suodattamiseen ja tietovarkauksiin tekee siitä suositun valinnan kyberrikollisten keskuudessa", Chailytko selittää.
Haittaohjelma tarjoaa joukon tietojen suodatusmenetelmiä ja varastamista, jotka kohdistuvat yleisimmin käytettyihin ohjelmistoihin selaimista FTP-asiakkaisiin. Viimeaikaiset päivitykset haittaohjelmiin tarjoavat tiiviimmän integraation alustojen, kuten Telegramin ja Discordin, kanssa, mikä helpottaa huijareiden suorittamista hakkerointikampanjoista.
Agentti Tesla oli uutisissa viime vuonna, kun kyberrikolliset käyttivät hyväkseen a 6-vuotias Microsoft Office etäsuoritusvirhe agentti Teslan sitomiseen.
Agentin Tesla Hackin anatomia
Check Pointin turvallisuustutkijoiden analyysi julkaistiin a blogi Tämä viikko tarjosi yhden tähän mennessä yksityiskohtaisimmista Agent Teslaan perustuvan tietojenkalastelukampanjan metodologian tarkastuksista. Heidän työnsä tarjoaa post mortemin marraskuussa 2023 käynnistetyistä hyökkäyssarjasta enimmäkseen australialaisia ja amerikkalaisia kohteita vastaan.
Check Point sanoi, että uhkatoimija nimeltä "Bignosa" asensi ensin Pleskin (isännöintiä varten) ja Round Cuben (sähköpostiohjelman) isännöityyn palvelimeen. Sitten hyökkääjät naamioivat Agent Teslan hyötykuorman käyttämällä Cassandra Protector -nimistä pakettia, joka piilotti haitallisen koodin ja kontrolloi sen toimittamista.
Cassandra Protector sisältää useita vaihtoehtoja, joiden avulla kyberrikolliset voivat määrittää nukkumisajan ennen suoritusta. Muiden toimintojen ohella se ohjaa tekstiä väärennetyssä valintaikkunassa, joka tulee näkyviin, kun uhrit avaavat haitallisen tiedoston.
Kun agentti Tesla oli "suojattu" tällä tavalla, Bignosa muunsi haitallisen .NET-koodin ISO-tiedostoksi, jonka laajennus oli ".img", ennen kuin liitti tuloksena olevan tiedoston roskapostiviesteihin.
Seuraavaksi Bignosa liittyi äskettäin määritettyyn koneeseen etäkäyttöverkkoprotokollayhteyden kautta, loi sähköpostiosoitteen, kirjautui sisään webmailiin ja käynnisti roskapostiajon käyttämällä valmiiksi valmisteltua kohdeluetteloa. Check Pointin mukaan "muutama onnistunut infektio" iski Australiaan hyökkäyksen ensimmäisessä aallossa.
Uudessa Seelannissa
Agent Tesla -haittaohjelmakampanjan takana olevat uhkatekijät kohdistuivat ensisijaisesti australialaisiin yrityksiin, kuten osoitti heidän koneissaan oleva postituslistatiedosto nimeltä "AU B2B Lead.txt".
"Tämä viittaa tietoiseen pyrkimykseen koota ja kohdistaa sähköpostiosoitteita, jotka on linkitetty australialaisiin yrityskokonaisuuksiin, mahdollisesti tarkoituksena soluttautua yritysverkostoihin tavoitteena saada arvokasta tietoa taloudelliseen hyväksikäyttöön", Check Pointin Chailytko sanoo.
Bignosa työskenteli myös toisen taitavamman kyberrikollisen kanssa, joka säädyttömästi noudattaa "jumalia" kampanjassa murtaakseen australialaisia ja yhdysvaltalaisia yrityksiä, tutkijat havaitsivat.
Jumalat tarjosivat Bignosalle neuvoja haitallisen roskapostin sisällöstä turvallisuustutkijoiden löytämien Jabber-chat-lokien mukaan.
Kuten muidenkin kyberrikollisten kohdalla, kaksikko kamppaili kyberrikoskampanjansa elementtien kanssa Check Pointin löytämien todisteiden mukaan.
Useissa tapauksissa Bignosa ei pystynyt puhdistamaan konettaan Agent Tesla -testitartunnalta, joten onneton hakkeri joutui pyytämään apua Godsin etäkäytöstä.
Check Point sanoi uskovansa, että Bignosa on kenialainen ja Gods on nigerialainen, jolla on päivätyö verkkokehittäjänä.
Kuinka estää Agent Tesla -infektiot
Check Pointin korostama Tesla-agenttipohjainen keihäs-phishing-kampanja korostaa kypsän haittaohjelman edelleen yleistä uhkaa.
Yritysten tulee pitää käyttöjärjestelmät ja sovellukset ajan tasalla asentamalla korjaustiedostoja nopeasti ja hyödyntämällä muita turvatoimia. Check Pointin mukaan kaupalliset roskapostin suodatus- ja estoluettelotyökalut voivat auttaa minimoimaan käyttäjien postilaatikoissa näkyvän roskapostin määrän.
Siitä huolimatta loppukäyttäjien on oltava varovaisia, kun he kohtaavat odottamattomia linkkejä sisältäviä sähköposteja, erityisesti tuntemattomilta lähettäjiltä. Check Pointin mukaan siellä säännölliset työntekijöiden koulutus- ja koulutusohjelmat voivat vahvistaa tietoisuutta kyberturvallisuudesta.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/remote-workforce/thousands-of-australian-businesses-targeted-with-agent-tesla-rat
